Существует образ микротика, который нужно посмотреть и описать что именно там настроено, как эта конфа работает, куда подключается и куда что отправляет. Нужно полное экспертное заключение с описанием. Можно без лицензии, главное это четкое объяснение всего что настроено на нем. Стоимость за данную работу определим по согласованию.
Стандартные методы родительского контроля часто бывают неудобными: либо вы блокируете всё, кроме пары сайтов, либо тратите кучу времени на ручное ведение "белых списков". Этот метод предлагает элегантное и гибкое решение.
Идея проста: по умолчанию интернет на устройстве ребенка полностью заблокирован. Но как только вы заходите на какой-либо сайт или используете приложение на своем "контрольном" телефоне, его адрес автоматически добавляется в "белый список", и ребенок тут же получает к нему доступ. Вы управляете доступом, просто пользуясь своим телефоном.
Как это работает (концепция)
Блокировка по умолчанию: Мы создаем правило, которое блокирует весь интернет-трафик для устройства ребенка, идентифицируя его по уникальному MAC-адресу.
Динамический "белый список": Мы создаем специальный список адресов (Address List), который изначально пуст.
Правило-шпион: Мы настраиваем правило, которое следит за интернет-активностью контрольного телефона. Когда он заходит на новый ресурс, его IP-адрес автоматически заносится в "белый список".
Правило-исключение: Мы создаем еще одно, самое важное правило. Оно стоит выше блокировки и разрешает ребенку доступ только к тем адресам, которые в данный момент находятся в "белом списке".
Что вам понадобится
Доступ к настройкам вашего роутера MikroTik (через WinBox или веб-интерфейс).
MAC-адрес устройства ребенка (например, AA:BB:CC:11:22:33).
MAC-адрес вашего контрольного телефона (например, DD:EE:FF:44:55:66).
Шаг 1: Пошаговая настройка в терминале
Откройте в WinBox или веб-интерфейсе New Terminal и последовательно введите следующие команды. Не забудьте заменить MAC-адреса на ваши!
Создаем "белый список"
/ip firewall address-list add list=allowed_for_child comment="Whitelist for Child"
Эта команда создает пустой список адресов с именем allowed_for_child. Именно сюда будут автоматически добавляться разрешенные IP-адреса.
Создаем правило для отслеживания контрольного телефона
/ip firewall mangle add action=add-dst-to-address-list address-list=allowed_for_child address-list-timeout=none chain=prerouting src-mac-address=DD:EE:FF:44:55:66 connection-state=new comment="Populate whitelist from control phone"
Это самое умное правило. Оно следит за трафиком контрольного телефона (с MAC-адресом DD:EE:FF:44:55:66) и, как только обнаруживает новое соединение, добавляет IP-адрес назначения в наш "белый список" allowed_for_child. Параметр address-list-timeout=none означает, что адрес добавляется навсегда.
Это правило разрешает устройству ребенка (определяемому по его MAC-адресу AA:BB:CC:11:22:33) обращаться к любому IP-адресу, который находится в списке allowed_for_child.
Создаем блокирующее правило по умолчанию
/ip firewall filter add action=drop chain=forward src-mac-address=AA:BB:CC:11:22:33 comment="BLOCK all other internet for child"
Это финальное правило. Оно блокирует весь остальной интернет-трафик для устройства ребенка, который не был разрешен предыдущим правилом.
Шаг 2: Проверка порядка правил (Критически важно!)
Брандмауэр MikroTik обрабатывает правила последовательно, сверху вниз. Чтобы наша система работала, разрешающее правило обязательно должно стоять выше блокирующего.
Перейдите в IP -> Firewall.
Откройте вкладку Filter Rules.
Убедитесь, что правило с комментарием ALLOW child access to whitelist находится НАД правилом с комментарием BLOCK all other internet for child.
Если порядок неверный, просто нажмите на разрешающее правило и, удерживая левую кнопку мыши, перетащите его выше блокирующего.
Шаг 3: Как этим пользоваться и управлять
Система полностью настроена и уже работает.
Чтобы дать доступ: Просто откройте нужный сайт, игру или приложение на своем контрольном телефоне. Их сетевые адреса автоматически попадут в "белый список".
Чтобы отозвать доступ: Поскольку мы установили бесконечное время (timeout=none), "белый список" нужно чистить вручную.
Перейдите в IP -> Firewall -> вкладка Address Lists.
Найдите и выделите IP-адрес, доступ к которому вы хотите закрыть.
Нажмите на красный минус (-) для удаления. Доступ будет мгновенно закрыт.
На каких еще роутерах можно это настроить?
Описанная схема очень изящно реализуется на MikroTik благодаря одной ключевой функции — action=add-dst-to-address-list. Это встроенный инструмент, который делает всю сложную работу за нас. На других платформах достижение того же результата потребует больше усилий.
Категория 1: Почти невозможно (Обычные домашние роутеры)
На стоковых (заводских) прошивках большинства роутеров от TP-Link, D-Link, Asus, Netgear и т.д. реализовать такую схему не получится. Их брандмауэры не обладают необходимой гибкостью для отслеживания трафика и динамического изменения списков доступа.
Категория 2: Возможно, но сложнее (Продвинутые и Pro-роутеры)
OpenWrt: Потребуется комбинация iptables, ipset и написание кастомного скрипта, который будет анализировать системные логи и добавлять IP-адреса в ipset. Сложность: Высокая.
Keenetic: Принцип схож с OpenWrt, но потребует адаптации скриптов под синтаксис и особенности KeeneticOS. Сложность: Средняя/Высокая.
Ubiquiti UniFi (USG/UDM): Потребует глубокой работы с конфигурационными файлами в формате JSON, что выходит далеко за рамки стандартных настроек. Сложность: Высокая.
Категория 3: Возможно для энтузиастов (pfSense / OPNsense)
На программных роутерах это реализуемо, но, как и в OpenWrt, потребует настройки логирования трафика и создания скрипта, который будет парсить лог и добавлять IP-адреса в нужную таблицу брандмауэра. Сложность: Высокая.
1) Cisco - дорого-богато, сложно в настройке, но если нужно оборудование в реально высоконагруженную сеть, то лучше не экономить, экономия встанет в итоге просто дороже. Для обычной сети избыточно, только если совсем некуда деньги девать или нужно бюджет попилить (да, бывают и такие конторы).
2) Микрот - основа основ почти любой корпоративной сети, куча вариантов по мощности изделия, настраивается практически как угодно, интегрируется тоже, если не знаешь сам, всегда можно нагуглить решения в сети, нужно обладать хотя бы базовыми понятиями о построении сетей.
3) Zyxel - ставить дома ОК (наверное самый оптимальный вариант ибо настраивается по щелчку пальцев), если ставить в конторе то только от большого желания сэкономить и не париться с настройками (за +/- те же деньги можно взять младший микрот).
4) Юбики - согласен с автором, от прошивки многое зависит, иногда летает, иногда мосты или тарелки отваливаются по 3 раза за день. В бесшовном сегменте мне CAPs нравится куда как больше.
5) Все прочее - для дома пойдет, если конечно не брать самые дешманские модели (их часто продают/дают в аренду сами провайдеры), те только серфинг в сети осилят и то если устройств в сети 1-2.
Cisco - промышленная система под Hi-Load нагрузки. Для обеспечения скорости работы в системе НЕТ (или почти нет) защит от дураков, которые могут жрать до 90% ресурсов. Вся архитектура делается в голове инженера.
Дома - нахуй не нужна. Потому что во-первых ни одна домашняя сеть не даст сиськам (сленг, второе название - кошки) нормально себя показать, во-вторых её настроить... Далеко не каждому дано. В 999 случаях из 1000 "не такая" работа кошки - руки из жопы того, кто настраивал.
MicroTik / OpenWRT- идеологически это почти Cisco, но на порядки больше ориентирована на администратора и как следствие менее производительна. Может рассматриваться домой или в малый офис только при наличии доступного сетевого инженера. Иначе так же как и с сиськами - нагиузки нет, потенциал не раскрыт.
Keenetik (Zyxel) - профессиональное оборудование SOHO сегмента. Сильно проще микрота, но на голову выше прочих. Если нет знаний и понимания домой лучше не брать.
Вся прочая шушера - идеальный домашний вариант. Умеют раздавать Интернет, а большего типичному пользователю, далёкому от ИТ, ничего и не надо. Да, там нельзя настроить 100500 вещей, но далёкий от ИТ человек про них вообще не знает.
Для справедливости отмечу, что с Ubiquti не работал, сказать ничего не могу. Техника российского производства (ну или с российскими шильдиками) не стабильная по качеству софта. Может год быть самой охуенной, может падать без видимой причины каждые 15 минут. Второе реже, но от этого не сильно легче.
Грамотно будет идти во-первых от ограничений по закону (допустимые модели), во вторых от нагрузки и задач снизу вверх. То есть:
Любая херня
Если не справилась - Keenetik
Если не справляется - MikroTik
Если не справляется - Cisco
Если не справляется - ищите нормального сетевого архитектора.
Без необходимости повышать уровень практического смысла не имеет. Чтобы использовать большие возможности нужно иметь большую квалификацию, а если её нет, то большими будут прежде всего проблемы, а не возможности.
>да не самый высший уровень, но надеюсь зацените Вроде и не совсем рукожоп, но азов не знаешь. Так что недорукожоп. Шкаф "на троечку".
1. Косы расплетаются параллельно, одинаковой толщины слева и справа. Поэтому органайзер на 34-м юните должен быть симметрично занят, слева и справа одинаковое количество хвостов идет максимум до середины. Т.е. на 33 юните до 60 розетки хвосты заходят слева, с 61 по 72 - справа. Так по-фэншую. (смотрим картинку 1)
2. Верхний юнит - патч-панель, под ним органайзер, под ним 2 патч-панели, потом опять органайзер (типа как на картинке 3, хотя там на 2 юнита вниз развели, тоже рукожопы). Органайзер "снабжает" проводами 1 юнит сверху и 1 юнит снизу. 2/3 занимают патч-панели и 1/3 - органайзеры. Стандарт практически. (Смотрим картинки 1 и 5)
3. Один держатель органайзера = 1 "блок" на патч-панели. Смотри на 34 и 33 юниты своего шкафа. Розетка 55 и 56 в держатель не заправлены, а 65 и 66 сделаны правильно. (Ориентируемся на картинку 2 с синими кабелями)
4. Неплохой вариант на картинке 4 с желтыми кабелями, когда 1 коммутатор, сверху и снизу от него 2 патч-панели. Нижний ряд свича запитан от нижней патч-панели, верхний - от верхнего, короткими патч-кордами. Без органайзеров. Только надо выкинуть щетки. Утилизация шкафа - идеальная и максимальная, КПД - 100%
5. Вертикальных боковых органайзеров нет. Фу-фу-фу. (картинки 6 и 7)
6. Низ шкафа совсем пустой, а верх шкафа полный? Где у нас центр тяжести? Надеюсь, догадались внизу сплитов понаставить. Чем тяжелее техника, тем ниже.
7. Про щеточные вводы для кабелей от пыли не забыли, надеюсь? (картинка 8)
8. Про вентиляторы в потолке шкафа не забыли, надеюсь?
9. Про оборудование с SIM-картой для алярмов и мониторинга протечек, температуры, влажности, электропитания не забыли, надеюсь? (картинка 9 - 10)
10. Нахер стяжки, покупаем рулоны по 5-10 метров липучки
11. Разные сегменты коммутируем разным по цвету кабелем. Если сегмент интернета отделен от рабочей сети, то его красными патч-кордами соединяем. Межэтажка от ядра сети - желтыми. Какие то еще выделенные сегменты (оборудование ИБ, телефония, DMZ, серверный сегмент, сетевое железо с ограниченным доступом, сегмент BNC/iLO/IPMI/KVM-IP) - еще другими цветами.
Это - только небольшая часть науки по организации серверных/коммутационных шкафов
Рисунок 1. Слева и справа хвосты заходят поровну. Каждому блоку патч-панели - свой держатель на органайзере.
Рисунок 2. Слева и справа хвосты заходят поровну. Каждому блоку патч-панели - свой держатель на органайзере.
Рисунок 3. Сначала патч-панель, потом органайзер, потом 2 патч-панели, (потом нужен опять органайзер, тут нет)
Рисунок 4. 1 коммутатор, сверху и снизу от него 2 патч-панели. Нижний ряд свича запитан от нижней патч-панели, верхний - от верхнего, короткими патч-кордами. Без органайзеров. Только надо выкинуть щетки.
Рисунок 5. Сверху все плохо. Нижний органайзер показывает нужный принцип: от него питается патч-панель выше и ниже органайзера. Только двухюнитовый органайзер поменять на те, которые стоят выше, одноюнитовые
Рисунок 6. Пустой вертикальный органайзер с крышкой. Самый лучший вариант. Шкаф дорогой, наверное HP. У них все охрененное и удобное
Рисунок 7. Вертикальный органайзер с проводами. Относительно удобный, но требует возни с липучками
Рисунок 8. щеточные вводы для кабелей от пыли
Рисунок 9. Оборудование российского вендора Netping для управления питанием, перезагрузкой оборудования по хитрым алгоритмам, мониторинга десятков параметров. Может управляться по СМС при отсутствии сети и рассылать алярмы в том числе по СМС
Рисунок 10. Типовая схема и некоторые из датчиков, которые могут подключаться к NetPing-ам.
